Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Ti vendono una TV e ti regalano un malware! BadBox: un milione di dispositivi per una botnet invisibile

Redazione RHC : 6 Giugno 2025 21:53

L’FBI ha riferito che la botnet Android BadBox 2.0 ha già infettato oltre 1 milione di dispositivi in ​​tutto il mondo. Gli attacchi includono decoder TV, tablet, smart TV, smartphone e così via, che il malware trasforma in proxy residenziali.

“La botnet BadBox 2.0 è composta da milioni di dispositivi infetti e contiene molteplici backdoor verso proxy che i criminali informatici utilizzano per vendere o fornire accesso gratuito a reti domestiche compromesse da utilizzare per una serie di attività criminali”, avverte l’FBI.

Ricordiamo che BadBox è un malware per Android basato sul codice della famiglia di malware Triada. Spesso, il malware può essere preinstallato su dispositivi economici fin da subito, e infettarli anche tramite aggiornamenti e applicazioni dannose che a volte penetrano in Google Play e negli store di terze parti.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Il malware viene utilizzato per rubare dati, installare altro malware e consente agli aggressori di ottenere l’accesso remoto alla rete in cui si trova il gadget infetto. “I criminali informatici ottengono l’accesso non autorizzato alle reti domestiche dotando i dispositivi di malware prima che vengano acquistati dall’utente o infettandoli durante il download di applicazioni necessarie contenenti backdoor, cosa che di solito avviene durante la configurazione”, spiega l’FBI. “Una volta che i dispositivi IoT compromessi si connettono alle reti domestiche, diventano parte della botnet BadBox 2.0 e dei proxy residenziali, comunemente utilizzati per attività dannose”.

Come già segnalato dagli esperti di sicurezza, BadBox è in grado di rubare codici di autenticazione a due fattori, installare altro malware e creare nuovi account di posta elettronica e di messaggistica istantanea per diffondere notizie false. Inoltre, gli operatori di BadBox sono associati a frodi pubblicitarie e i dispositivi infetti vengono utilizzati come proxy residenziali. Sono noti anche casi in cui gli aggressori hanno utilizzato gli indirizzi IP delle vittime per accedere agli account di altre persone utilizzando credenziali rubate.

Ricordiamo che BadBox è stato scoperto per la prima volta nel 2023 dal ricercatore indipendente di sicurezza informatica Daniel Milisic, il quale notò che su Amazon venivano venduti decoder Android T95 infettati da malware complessi fin dal primo momento.

Alla fine del 2024, le forze dell’ordine tedesche hanno tentato di disattivare  parte della botnet BadBox. Tuttavia, i ricercatori di BitSight hanno subito segnalato che l’operazione ha avuto un impatto minimo sul suo funzionamento. Entro la fine di dicembre, la botnet contava nuovamente oltre 192.000 dispositivi infetti in tutto il mondo.

Questa primavera, Human Security ha guidato una nuova operazione per combattere la botnet, in collaborazione con Google, Trend Micro, la Shadowserver Foundation e altri esperti. Con la botnet che ha nuovamente registrato una rapida crescita, raggiungendo quasi un milione di dispositivi IoT infetti, i ricercatori l’hanno chiamata BadBox 2.0.

“Questa campagna ha colpito oltre 1 milione di dispositivi consumer. I dispositivi inclusi nella botnet BadBox 2.0 includevano tablet, decoder, proiettori digitali e altri dispositivi di fascia bassa, senza marchio e non certificati”, ha scritto Human Security. “I dispositivi infetti sono soluzioni basate su Android Open Source Project, non dispositivi con sistema operativo Android TV o certificati Play Protect. Sono tutti prodotti nella Cina continentale e spediti in tutto il mondo”.

Secondo i ricercatori, la maggior parte dei gadget interessati si trova in Brasile (37,6%), Stati Uniti (18,2%), Messico (6,3%) e Argentina (5,3%). Nel marzo 2025, l’operazione ha consentito di realizzare un sinkhole su alcuni domini botnet, interrompendo la comunicazione con i server di comando e controllo di 500.000 dispositivi infetti. Tuttavia, secondo l’FBI, la botnet sta nuovamente crescendo poiché i consumatori acquistano sempre più prodotti compromessi e li collegano a Internet.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

GhostSec: Azienda Italiana Commissiona Attacco Informatico Al Governo Macedone

GhostSec, noto collettivo di hacktivisti, ha recentemente rivelato dettagli su un’operazione controversa che coinvolge un’azienda italiana e obiettivi governativi macedoni. In un’...

Un Database AT&T da 3GB viene Venduto nel Dark Web: 73 Milioni di Record a Rischio

Negli ultimi giorni, su due noti forum underground specializzati nella compravendita di dati trafugati e metodi fraudolenti, sono comparsi dei post separati (ma identici nel contenuto), riguardanti un...

Non fidarti del codice prodotto dalle AI! Un bug Giurassico del 2010 infetta anche GPT-4

E se le intelligenze artificiali producessero del codice vulnerabile oppure utilizzassero librerie e costrutti contenenti bug vecchi mai sanati? Si tratta di allucinazione o apprendimento errato? Una ...

Ancora attacchi alle infrastrutture Italiane. NoName057(16) sferra nuovi attacchi DDoS

Anche questa mattina, gli hacker di NoName057(16) procedono a sferrare attacchi DDoS contro diversi obiettivi italiani. Nell’ultimo periodo, Telegram ha intensificato la sua azione co...

Pornhub, Redtube e YouPorn si ritirano dalla Francia per colpa della legge sulla verifica dell’età

Secondo diverse indiscrezioni, il proprietario di Pornhub, Redtube e YouPorn ha intenzione di interrompere il servizio agli utenti francesi già mercoledì pomeriggio per protestare contro le ...